Aanvallers maken gebruik van een kwetsbare driver van antivirusbedrijf Avast om antivirussoftware bij organisaties uit te schakelen en vervolgens ransomware uit te rollen, zo waarschuwt Microsoft. Het softwarebedrijf roept organisaties dan ook op om alert te zijn wanneer virusscanners worden uitgeschakeld en hierop te monitoren.
In een blogposting beschrijft Microsoft een aanval met de Cuba-ransomware op een niet nader genoemde organisatie, waar aanvallers al acht maanden lang toegang toe hadden voordat de aanval plaatsvond. Hoe de aanvallers toegang hadden gekregen kon niet worden vastgesteld, aangezien de logbestanden geen acht maanden teruggingen. Daarnaast waren de versleutelde systemen opnieuw geïnstalleerd voordat de analyse kon plaatsvinden.
De organisatie maakte gebruik van Microsoft Defender Antivirus, maar de aanvallers wisten de beveiligingsoplossing via een kwetsbare driver van Avast uit te schakelen. De techniek wordt Bring Your Own Driver of Bring Your Own Vulnerable Driver genoemd. Drivers draaien met verhoogde rechten op het systeem. Kwetsbaarheden in drivers bieden aanvallers de mogelijkheid om het kernelgeheugen te lezen of schrijven en daarin code uit te voeren, om zo beveiligingssoftware uit te zetten.
Eerder dit jaar werd bekend dat de aanvallers achter de AvosLocker-ransomware een kwetsbare driver van Avast bij hun aanvallen gebruiken. Ook aanvallers die van de Cuba-ransomware gebruikmaken doen dit, zo stelt Microsoft. Door de antivirussoftware in de gehele organisatie uit te schakelen was het mogelijk de ransomware uit te rollen zonder te worden geblokkeerd.
Organisaties zouden dan ook op het uitschakelen van antivirussoftware moeten monitoren en hierop reageren, aldus Microsoft. Tevens wordt aangeraden de "anti-tampering" instellingen van Defender in te schakelen om te voorkomen dat aanvallers de virusscanner uitschakelen. Microsoft biedt op Windows 10 een blocklist om kwetsbare drivers te blokkeren, maar die bleek door een fout bij het softwarebedrijf al zeker drie jaar lang niet automatisch te zijn bijgewerkt.
Deze posting is gelocked. Reageren is niet meer mogelijk.